Guide de l'architecte pour le déploiement de la microsegmentation : Gérer le processus de déploiement

Les parties 1 et 2 de cette série explorent les implications de la modification de votre modèle de sécurité et les ressources nécessaires à la réussite de votre déploiement de microsegmentation.

Dans la troisième partie, nous examinerons la meilleure façon de gérer le processus de déploiement avec des points de contrôle spécifiques à ajouter à votre plan.

À bien des égards, le déploiement de la microsegmentation est un projet informatique comme un autre. Comme pour tout projet, il y a du travail technique, du travail politique et du travail de coordination. Ci-dessous, je vais mettre en évidence les considérations spéciales qui rendent le déploiement d'une microsegmentation aussi facile que possible. Il s'agit des "meilleures pratiques" que nous avons distillées à partir de nombreux déploiements d'entreprises à grande échelle et qui peuvent être adaptées à des déploiements de toute taille.

Assurer une formation générale à l'ensemble de l'équipe de projet

Faites participer le plus grand nombre possible de personnes à la classe de formation générale du vendeur. Il permet aux participants de se familiariser avec l'architecture, le langage des politiques et les concepts fondamentaux de la microsegmentation. Lorsque l'ensemble de l'équipe du projet y participe, le processus de conception devient plus solide. Chaque membre de l'équipe interfonctionnelle mentionnée ci-dessus a une vision différente de l'informatique et comprend les contraintes et l'architecture existante d'un point de vue unique.

Lorsque chaque personne en sait suffisamment sur le déploiement de la microsegmentation pour verbaliser les complications éventuelles, les tests ou certifications obtenus et d'autres détails de ce type, il est beaucoup plus facile d'élaborer un plan de déploiement complet. Plus tôt ces perspectives seront prises en compte dans le processus de planification, mieux ce sera. Si les membres de l'équipe sont intégrés un par un au fur et à mesure de l'avancement du projet, de nombreux éléments du "chemin critique" ne seront découverts que plusieurs semaines plus tard. Ce préavis donne à l'ensemble de l'organisation plus de temps pour planifier et réagir.

Attendez-vous à des livrables complets en matière de conception

Le déploiement d'une microsegmentation comporte plusieurs nouveaux concepts, comme nous l'avons vu plus haut. Ces éléments doivent être pris en compte dans le plan et le calendrier du projet. Si le plan de projet ne comporte que des étapes techniques et ne tient pas compte de la coordination, des notifications entre les équipes et d'autres points de contact, le projet prendra plusieurs semaines de retard à la fin du projet. Chaque entreprise organise et suit ses projets en fonction de ses spécificités locales, mais chaque projet doit avoir des caractéristiques propres :

• Un plan de déploiement détaillé. Le vendeur doit fournir un modèle de "travail à faire" qui contient tous les "enseignements tirés" et les "meilleures pratiques". Ces éléments doivent être intégrés dans un plan de déploiement réalisable, avec l'attribution de noms et de dates, le cas échéant. Le plan doit être approuvé par les équipes qui l'exécutent et le sponsor exécutif doit s'attendre à recevoir des rapports sur les progrès réalisés.
• Un plan d'étiquetage et de métadonnées. La politique de microsegmentation étant basée sur les noms et les étiquettes plutôt que sur les adresses IP, l'équipe devra évaluer les sources de données actuelles et identifier les lacunes. Pour les opérations en cours, il peut être nécessaire de créer ou d'améliorer la politique et le flux de travail concernant la création et la mise à jour des métadonnées au fur et à mesure de l'apparition et de la disparition des applications.
• Une politique de sécurité initiale détaillée. Nos déploiements les plus rapides ont eu lieu lorsque l'équipe chargée du déploiement avait un objectif politique clair dès le début du projet. La microsegmentation est capable d'une plus grande granularité que celle dont les entreprises disposaient jusqu'à présent. Pour la plupart de nos clients, la microsegmentation offre bien plus que ce qui est initialement requis. L'équipe de projet avisée atteindra d'abord les objectifs du projet et ne se laissera pas absorber par tout ce qui sera éventuellement possible avec la plateforme. Il est préférable de détailler la politique initiale et de demander à l'équipe de s'efforcer d'atteindre cet objectif. Une fois que les charges de travail sont toutes sécurisées conformément à la politique de sécurité initiale, il est possible de les renforcer en fonction des besoins de l'entreprise, sur une base ajustée au risque. Évitez d'"essayer de faire bouillir l'océan".
• Une liste et une description de tous les automatismes requis et de la personne qui va les rédiger. Le déploiement en masse d'agents, l'importation d'étiquettes et de métadonnées, et bien d'autres choses encore, seront probablement automatisés. En fonction de l'équipe qui occupera le poste de chef de file technique, ce travail pourra être effectué par d'autres équipes. Cela nécessitera une programmation et une coordination supplémentaires. Le fait de savoir à l'avance ce qui est nécessaire et dans quels délais permet à chaque équipe d'éviter les surprises et de rester sur la bonne voie.
• Une liste et une description de tous les points d'intégration requis et de la personne qui s'en chargera. Au minimum, les journaux de sécurité et les journaux opérationnels seront probablement envoyés à un SIEM ou à une plateforme d'analyse de big data. Une personnalisation supplémentaire, des tableaux de bord et d'autres outils peuvent être nécessaires. Il s'agit souvent d'un domaine qui implique d'autres équipes que celle qui dirige le projet. Votre fournisseur disposera d'ingénieurs de service professionnels dotés d'une expertise spécifique et devra mobiliser les ressources adéquates pour votre projet. Il est important de déterminer qui fait quel travail dès le début du projet afin d'aligner les calendriers.
• Une liste des processus internes et des flux de travail qui seront affectés par le déploiement de la microsegmentation. La microsegmentation modifie la manière dont votre organisation élabore sa politique de sécurité. Si quelqu'un modifie les étiquettes ou les métadonnées, la politique de sécurité appliquée à une charge de travail s'en trouvera modifiée. En théorie, cela ne diffère pas d'une demande de modification d'une règle de pare-feu. Cependant, la plupart des organisations constatent que certains flux de travail clés doivent être appliqués ou étendus pour que les mesures de protection existantes s'appliquent. Attendez de l'équipe qu'elle les identifie et qu'elle les soumette aux niveaux appropriés pour coordination et approbation. Il s'agit là d'un élément clé pour une appropriation sans heurts et à long terme d'une solution de microsegmentation, et d'un travail qui ne peut être réalisé sans l'approbation et la coordination de l'équipe de direction.

Cadence des rapports

Les déploiements de microsegmentation se déroulent sans heurts lorsqu'il existe trois niveaux de rapports, chacun ayant sa propre cadence :

1. L'état d'avancement technique du projet : Le chef d'équipe, les ingénieurs des services professionnels du fournisseur et les autres personnes très impliquées au niveau du travail doivent communiquer régulièrement. Nous observons souvent cette situation dans le cadre d'horaires aussi courts que quotidiens ou d'un appel de situation hebdomadaire à l'extrémité la plus éloignée. Ces appels sont normalement dirigés par les chefs de projet et les responsables techniques et se concentrent directement sur le travail. Un large éventail de personnes sont invitées à cet appel et y participent en fonction des besoins.
2. Statut du projet : Il s'agit d'une conférence téléphonique à laquelle participent les chefs de projet, les chefs d'équipe, les responsables et les directeurs intéressés des deux côtés. Normalement, il s'agit d'un rendez-vous bihebdomadaire ou mensuel. Il est conçu pour communiquer l'état général rouge-vert, identifier les lacunes, demander des escalades ou des ressources supplémentaires, etc. Il ne s'agit pas d'un appel technique, mais d'un appel de gestion de projet destiné à tenir le vendeur et l'entreprise informés de l'état d'avancement du projet.
3. Statut exécutif : Les entreprises déploient la microsegmentation pour obtenir des avantages commerciaux spécifiques. Une fréquence mensuelle ou trimestrielle avec le sponsor exécutif, les dirigeants du fournisseur et le gestionnaire de compte garantit que le projet reste aligné sur les objectifs et les priorités globales de l'entreprise. Il s'agit d'un forum permanent permettant aux deux équipes d'interagir et d'établir des priorités appropriées pour la réussite du projet. Il s'agit généralement d'une réunion de 30 minutes, mais elle peut durer plus longtemps avant des étapes clés telles que l'entrée en application de la loi pour la première fois.

Et c'est tout. La communication est au cœur de tout déploiement réussi de la microsegmentation. Lorsque tous les membres de l'équipe sont correctement formés, que les livrables sont définis et respectés, et que la fréquence des rapports est convenue et maintenue, un déploiement efficace de la microsegmentation est non seulement réalisable, mais aussi plus facile que vous ne le pensez.

Dans la quatrième partie de cette série, nous aborderons cinq points sur lesquels vous pouvez vous appuyer pour accélérer la réussite de votre déploiement de la microsegmentation.